Pages

Sunday, February 28, 2021

人気急上昇の音声SNS「Clubhouse」は、セキュリティとプライヴァシーの課題を解決できるか - WIRED.jp

sigappos.blogspot.com

ここ数カ月、音声SNSの「Clubhouse」はシリコンヴァレーで最も話題のアプリとして注目を集めてきた。TwitterとFacebook Liveと電話での通話を合わせたような仕組みで、親しみやすいアプリである。

一方でClubhouseの人気が高まるにつれ、そのセキュリティとプライヴァシーの問題点に厳しい視線が注がれるようになった。このためClubhouseの開発元は、問題点の修正とユーザーの期待への対応に大慌てで取り組んでいる。

Clubhouseはグループ音声チャット空間の「ルーム」をユーザーに提供するサーヴィスで、現時点ではまだベータ版でiOSのみに対応している。一部のユーザーが話し手(スピーカー)になり、そのほかのユーザーが聴衆となる講演やパネルディスカッションのようなことが可能だ。

すでにClubhouseのユーザー数は1,000万人を超え、その評価額は10億ドルとも伝えられている。昨年以来、Clubhouseはシリコンヴァレーのエリートやセレブが集う招待制のプラットフォームとして注目され続けてきた。2月初旬にはイーロン・マスクまでClubhouseに登場している。

こうしたなか運営側はセキュリティ問題に加えて、ユーザーがClubhouseにどの程度のプライヴァシーを期待できるのかという問題の両方に頭を悩ませてきた。

「より小規模で新しいソーシャルメディアプラットフォームでは、データについてさらに注意を払う必要があります。特にプラットフォームが急成長する時期には、うまくデータをコントロールできるか試される機会が何度も訪れます」と、セキュリティ研究者のロバート・ポターは言う。「プラットフォームの利用者が10万人しかいないときは問題にならずに済んだことでも、ユーザー数が10倍になるとリスクに晒される度合いが格段に増え、脅威が増し、プラットフォームをハッキングしようとする人の数も増えるのです」

相次いだセキュリティの懸念

最近になってClubhouseで懸念されているセキュリティ問題には、脆弱性からアプリの根底にあるインフラへの疑念まで、ありとあらゆるものがある。

2月下旬にはスタンフォード大学インターネット観測所の研究者によって、ClubhouseのアプリがユーザーのClubhouse IDとチャットルームID番号を暗号化せずに送信していることが明らかになった。つまり、サードパーティーがアプリ上でのユーザーの行動を追跡できた可能性があるということになる。

研究者たちはさらに、Clubhouseのインフラの一部が上海を拠点とする企業によって運営されており、アプリのデータは少なくとも一時的に中国を通過していたと考えられると指摘した。ユーザーが標的にされたか、広範囲にわたる中国政府の監視に晒された可能性があるというのである。

さらに2月21日には、サードパーティのウェブサイトがClubhouseでのディスカッションのデータから音声だけを抜き取って集約していたことを、ブルームバーグが報道している。さらに2月22日未明には、Clubhouseでのディスカッションの音声データが無関係のAndroidアプリに抜き出され、Androidユーザーがリアルタイムで聴けるようになっていたことも判明した。

未成熟な仕組み

こうしたClubhouseのデータのスクレイピング(抽出)を複数にわたって調査した研究者のひとりであるポターは、これらのアプリやウェブサイトは悪意のあるものではなく、Clubhouseのコンテンツをより多くの人が利用できるようにしたかっただけのようだと説明している。

しかし、アプリやウェブサイトの開発者がデータのスクレイピングを実行できたのは、Clubhouseにそれを阻止できるようなメカニズムがなかったからだ。例えば、Clubhouseは1つのアカウントが一度にライヴ配信できるルーム数を制限していなかったことから、誰でもAPI(アプリケーション・プログラミング・インターフェース)をつくることですべての公開チャンネルから同時配信することが可能な状況だった。

Facebookのような成熟したソーシャルネットワークであれば、ユーザーのプライヴァシー侵害を防ぎ、資産として保持しているデータを守るために、データをロックするより高度なメカニズムを備えている。しかし、そのような成熟したソーシャルネットワークでさえ、巧妙なスクレイピング手法により危険に晒される可能性がある。

Clubhouseは、ユーザーの連絡先情報を積極的に収集している点でも厳しい視線を集めている。Clubhouseは、すでに同アプリを使用している知り合いとつながれるように、すべてのユーザーにアドレス帳データの共有を強く推奨しているのだ。さらにClubhouseは、ユーザーがほかの人をClubhouseに招待するためにも、連絡先リストを共有するよう要求している。Clubhouseはまだ招待制であることで特別感を醸成すると同時に、プライヴァシーを保とうとしてきたのだ。

また、ほかのユーザーを招待しようとすると、連絡先にあるどの電話番号が最も多くのClubhouseユーザーの連絡先に含まれているのかを判断基準に、アプリ側が招待相手を薦めてくる。これは多くのユーザーも指摘している点だ。つまり、あなたの近くに住む友人がすべて同じ花屋や医者、または麻薬の売人を利用している場合、これらの人々がおすすめ招待者リストに表示される可能性が非常に高いということになる。

いまだ十分ではない対策

なお、一連のセキュリティを巡る懸念についてClubhouse側にコメントを求めたが、回答は得られていない。だが、Clubhouseはスタンフォード大学インターネット観測所の研究者に対するコメントにおいて、中国にあるサーヴァーへの「ping」の送信の阻止や暗号化の強化など、セキュリティ強化のために計画した具体的な変更について詳しく説明している。

また、サードパーティーのデータセキュリティ会社と協力してこうした変更が実施されていく過程を確認するとも発表した。Clubhouseの議論を再配信していた無許可のウェブサイトへの対応に関しては、関係したユーザーの参加を永久に禁止し、再発防止の仕組みを追加すると報道機関に発表している。

Clubhouseは研究者からのフィードバックを真剣に受け止めているようだが、これまで実装した、あるいは追加する予定のあらゆるセキュリティの改善について具体的に説明したわけではない。さらに、Clubhouseアプリがユーザーにエンドツーエンド暗号化を提供していないと思われる点を考慮すると、Clubhouseはいまだにセキュリティの状況について十分に検討していないようだと研究者は指摘する。しかも、Clubhouseアプリが提起するいくつかの根本的なプライヴァシー問題に対しては、まだ取り組みが開始すらされていない。

Clubhouseでは、新規ルームを開設するときの設定を3種類から選ぶことができる。「Open」なルームはClubhouseユーザー全員がアクセス可能で、「Social」なルームはフォローしているユーザーだけが参加できる。「Closed」なルームは招待されたユーザーだけが参加可能だ。現状では、それぞれのルームに応じたレヴェルのプライヴァシーが設定されてはいるが、Clubhouseはそれをより明確なものにできるはずだ。

「公開ルームの場合、誰でも参加して録音したりメモをとったりできます。ですから、“公開”とはすべてのユーザーに公開するという意味だとClubhouseはユーザーに周知する必要があると思います」と、スタンフォード大学インターネット観測所の最高技術責任者(CTO)のデヴィッド・ティールは言う。「非公開ルームの場合は、多くのコミュニケーションの仕組みと同じように、権限をもつメンバーがコンテンツとIDを記録できます。その点をよく承知したうえで、参加者が信頼に値することを確認しなければなりません」

エンドツーエンド暗号化の重要性

その他の有名なソーシャルネットワークと同様に、Clubhouseもプラットフォームの悪用への対処に苦労している。20年11月時点でのアプリの利用規約では、悪意のある表現、人種差別、ハラスメントが禁止されていた。また、ユーザーをブロックしたり、不正使用の可能性があるルームにフラグを立てたりする機能など、いくつかのモデレート機能もある。

しかし、Clubhouseの最大の特徴でもある発言が自動保存されない点や、ユーザーが発言の自動保存に伴う責任を負わずにプラットフォームを利用できる点が、不正使用の防止を妨げる問題にもなっている。この機能によって、発言は記録されず責任を問われることもないと考えた一部のユーザーが、暴言や侮蔑的な発言を積極的にする可能性もあるからだ。

スタンフォード大学のティールによると、Clubhouseはいまのところ不正使用の申し立てがあった場合の確認用として、ディスカッションのデータを一時的に保存している。ただし、運営側がセキュリティのためにエンドツーエンド暗号化を実装する場合、議論の記録は簡単には作成できなくなる。そうなれば、悪用を把握するのはさらに困難になるだろう。

すべてのソーシャルメディアプラットフォームは、これと似たような葛藤に直面している。しかし、より繊細かつ創造的な不正使用防止ソリューションを開発するという課題の大きさを考えても、エンドツーエンド暗号化を追加する価値はあると、セキュリティ専門家は声を揃えて指摘する。

エンドツーエンド暗号化でさえ、Clubhouseユーザーが参加中の議論が外部から記録される可能性を排除できるわけではない。これはClubhouseが簡単に解決できる問題ではない。しかし、どれほどフレンドリーでオフレコのように感じられたとしても、その会話が記録されている可能性があることを、ユーザーに想定してもらうことは可能だろう。

「Clubhouseは、プライヴァシー重視の姿勢を明確にする必要があります」と、セキュリティ研究者のポターは言う。「そうすれば、ユーザーはそれに合わせて発言内容を決められるからです」

※『WIRED』によるClubhouseの関連記事はこちら。セキュリティの関連記事はこちら

RELATED ARTICLES

音声SNS「Clubhouse」の急成長で、周囲に新たな“エコシステム”が生まれ始めた

音声SNS「Clubhouse」で起きた女性への中傷を巡る激論と、プラットフォームの責務

Clubhouseだけじゃない。“音声SNS戦争”の行方はいかに?

Let's block ads! (Why?)


からの記事と詳細 ( 人気急上昇の音声SNS「Clubhouse」は、セキュリティとプライヴァシーの課題を解決できるか - WIRED.jp )
https://ift.tt/2PlcOV8
科学&テクノロジー

No comments:

Post a Comment